39 votos

¿Es una mala idea utilizar la misma privada ssh clave en varios equipos?

Recientemente he comprado un ordenador portátil desde el que necesito para acceder a la misma a los hosts remotos que puedo hacer desde mi escritorio. Se me ocurrió que podría ser posible simplemente copia el archivo de clave privada desde mi escritorio de mi portátil y evitar tener que agregar una nueva clave a la ~/.ssh/authorized_keys archivos en todos los hosts que desee acceder. Así que mis preguntas son:

  1. Esto es incluso posible?
  2. ¿Hay alguna que no sean obvias implicaciones de seguridad?
  3. A veces voy a entrar en mi escritorio de mi portátil. Si no estaban usando la misma clave, tendría que causar problemas?

31voto

DLRdave Puntos 398

Sí, esto es posible. Su clave privada no está ligada a una sola máquina.

No estoy seguro de lo que quieres decir por los no-obvio, que a menudo subjetiva ;). No es una mala idea en absoluto si usted asegúrese de que tiene una muy fuerte la frase de paso de conjunto, 20 caracteres por lo menos.

No hay cuestiones acerca de la conexión con la misma clave que tu escritorio. Quiero configurar un servidor ssh agente de su clave en el portátil, y adelante el agente para el escritorio, por lo que vamos a usar esa tecla en otros sistemas de acceso a partir de ahí.

Desde el ssh-agent hombre de la página en un sistema Linux:

ssh-agent es un programa para mantener claves privadas utilizadas para la clave pública autenticación (RSA, DSA). La idea es que ssh-agent se inicia en el comienzo de la X reunión o una sesión de inicio de sesión, y todos los demás windows o programas que se inician como los clientes de ssh-agent programa. A través del uso de variables de entorno que el agente puede ser encuentra y utiliza automáticamente para la autenticación de inicio de sesión en a otros equipos a través de ssh(1).

Tendría que ejecutar esto en su computadora portátil, ya sea el ssh-agent programa en Linux/Unix (que viene con OpenSSH), o con masilla agente si está usando Windows. Usted no necesita el agente que se ejecuta en cualquier remoto de los sistemas puramente mantiene su clave privada en la memoria del sistema local para que usted sólo tiene que introducir su contraseña una vez, para cargar la clave en el agente.

Agente de reenvío es una característica cliente de ssh (ssh o masilla) que simplemente persiste el agente a través de otros sistemas a través de la conexión ssh.

10voto

Joel Lucsy Puntos 5345

Yo solía utilizar una única clave privada a través de todas mis máquinas (y algunos de ellos, yo soy un usuario único, no un admin), pero recientemente ha cambiado esto. Funciona tener la clave, pero significa que si usted necesita para revocar la clave (si es comprometida), entonces usted tendrá que cambiar en todas las máquinas.

Por supuesto, si un atacante obtiene acceso y es capaz de ssh en otra máquina, se puede obtener la clave de la máquina, y así sucesivamente. Pero me hace sentir un poco más seguro para saber que puedo revocar sólo una clave, y el bloqueo de la máquina. Significa que tengo que quitar la llave del archivo authorized_keys, aunque.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: